中国銀行が、セキュリティ評価プラットフォーム「Assured」を導入

この度、Assured導入を推進いただいたコンプライアンス・リスク統括部 次長　藤井様、調査役 長谷川様に、導入の背景や期待を伺いました。

• この度はAssuredをご導入いただき誠にありがとうございます。まず、貴行におけるDX推進の取り組みや、クラウドサービスのご活用状況についてお聞かせください。 

藤井氏：

中国銀行では、中期経営計画「未来共創プラン ステージⅢ」で掲げる3つの成長戦略の１つに「イノベーションの創出」を掲げており、なかでも「DX」はその核となるものです。グループ横断での業務プロセスの改革、Web手続きやアプリ導入による非対面取引の機能整備、デジタル人財の育成、そしてシステムインフラの整備やデータ利活用によるCX向上を図っています。そのなかで、クラウドサービスの活用は必要不可欠であり、各領域で利用が拡大しています。

•  クラウドサービスを積極的に活用されるなか、それらのセキュリティ評価はどのように行われていらっしゃいますか？また、課題感についても教えてください。 

長谷川氏：

クラウドサービスの利用においては、新規導入時、及び利用中のサービスを対象に、チェックシートを用いてセキュリティ評価を実施しています。私どもにおいては、大切な情報を預託する以上はクラウドサービスも外部委託と同様にとらえていますが、クラウドサービス事業者様側にとってはサービスを提供しているという意識の違いもあるためか、チェックシートの質問内容がうまく伝わらなかったり、意図しない回答が返ってきたりして、複数回の往復が発生することもあり、多いときには5〜6回におよぶこともあります。これでは私たちだけでなく、双方に負担がかかりますし、サービスの導入にも遅れが生じてしまいます。リスク管理を徹底するうえで必要不可欠な対応ではあるものの、利用するサービスが増え続けるなか、非常に負荷がかかっている状況でした。

また当行では、最新の法令や監督官庁等が制定するガイドラインに対応するため、チェックシートの項目を1年に1回更新をしています。具体的には、「FISC安全対策基準（金融機関等コンピュータシステムの安全対策基準・解説書）」、金融庁による「中小・地域金融機関向け監督指針」やその他の法改正等を参照しています。一方で、従来はオンプレミス開発を中心に利用してきたこともあり、クラウドサービス特有のリスクを評価することに難しさを感じてきました。どのようなチェック項目を設けることで抜け漏れなくリスクを把握できるかを模索していたなか、Assuredを知り、導入することにしたのです。

•  おっしゃるように、金融機関様では、業界に特化した法令やガイドラインが定められ、高い基準でのリスク管理が必要とされるなか、その対応にお悩みの声を多く伺います。そんななか、Assured導入に至った経緯、決め手となったポイントを教えてください。 

 長谷川氏：

1つ目に、FISCも包含した網羅的で深い評価が可能である点です。

Assuredによるセキュリティ評価は、当行が参照しているFISC安全対策基準にも対応しているうえに、様々なガイドラインやフレームワークを取り入れているので、より網羅的な観点での評価情報を取得できます。

また、先述の通り当行では年に1回チェックシートの項目を改定していますが、Assuredでは四半期に1回改定が行われます。自前でやるよりも、よりスピーディーに最新トレンドを取り込んだ評価を実現できることにメリットを感じました。 

Assuredの評価項目概要

2つ目に、専門家によるセキュリティ評価情報を参照することで、属人性を廃した運用体制を構築できる点です。

自前でセキュリティ評価を行っていた際には、担当者の経験値によって評価結果に差が生じていました。Assuredでは、第三者のセキュリティ専門家による評価レポートを取得できるため、常に統一化された高い水準での評価が可能となり、属人性を廃した評価体制を構築できると期待しました。

セキュリティの専門知識を持つAssuredのセキュリティ評価チームによる第三者評価情報を提供

3つ目に、Assuredが目指す世界観に共感したのも大きなポイントです。

従来のチェックシート運用では、当行だけでなく、対応いただくクラウドサービス事業者の方々にとっても負担感のある作業ではないかと感じています。そうした背景もあってか、最近では個別のチェックシートへの対応は行っていないとのことで回答を断られてしまうケースも出てきました。世の中全体でクラウド化が進み利用者側の選択肢も広がるなか、事業者側にとっても低コストでのサービス運営を意識されているのではないかと考えています。

その状況に対し、プラットフォームとして利用企業、事業者双方を繋ぎ、第三者による評価情報をデータベースに一元化する仕組みは、双方の負担を軽減し、持続性の高い画期的な仕組みだと感じました。さらに、私たちのような金融機関が求める高いレベルでの評価品質も担保しているため、従来のセキュリティチェック運用に組み込むことができました。今後、利用企業が増えれば増えるほど、このメリットが高まっていくので、Assuredの成長に期待しています。

•  そのようにご期待いただき大変光栄です。今後も貴社のデジタル活用、DX推進を支えるインフラとなれるよう、サービス向上に努めてまいります。 

•  株式会社アシュアード 代表取締役社長　大森 厚志　コメント 

この度は、中国銀行様にAssuredをご導入いただき、大変光栄です。

特に金融機関様においては、高いレベルでのセキュリティ対策が必要とされるなか、クラウドサービスの利用に際するセキュリティ評価対応にお悩みのお声を多くいただいております。

金融庁が発行する「金融分野におけるサイバーセキュリティ強化に向けた取組方針」にて、昨年公表された改訂版（https://www.fsa.go.jp/news/r3/cyber/cyber-summary.pdf）では、新たなリスクへの備えとして、クラウドサービスの利用実態や安全性確認の徹底を促す項目が追加されるなど、業界全体で対策強化の動きが加速していることが伺えます。

そうしたなかAssuredでは、FISCを含む主要なガイドラインに基づいた評価項目でセキュリティ調査を実施し、専門知識を持つ第三者による評価情報を提供することで、金融機関様の基準に応じたセキュリティ評価を支援しています。

中国銀行様においても、利用が拡大するクラウドサービスの安全性確保の徹底のため、Assuredにご期待いただきました。今後も、同行、そして金融業界全体の安心・安全なDX推進を支えていけるよう、サービス向上に努めてまいります。

 【セキュリティ評価プラットフォーム「Assured（アシュアード）」について】 

Assuredは、SaaS/ASPなどのクラウドサービスの安全性を可視化するプラットフォームです。専門知識を有するセキュリティ評価チームが、主要なガイドラインやフレームワークに基づき、クラウドサービスのセキュリティ対策状況を調査し、その評価結果をデータベースに集約することで、効率的かつ高精度なセキュリティ評価を実現します。また、クラウドサービス事業者は、Assuredによるセキュリティ評価情報を用いて自社サービスの安全性を示すことができ、利用企業・事業者双方を繋ぐ役割として、企業の安全なクラウド活用、そして社会全体のDX推進を支えます。

URL：https://assured.jp/

 【Visionalについて】 

「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション（DX）を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人材活用・人材戦略（HCM）エコシステムの構築を目指す。また、M&A、物流Tech、サイバーセキュリティ、Sales Techの領域においても、新規事業を次々に立ち上げている。

URL：https://www.visional.inc/